Danske firmaer: Giv os NemID-login uden engangskoder

Når bankerne kan bruge NemID til login uden engangskode og tofaktor-sikkerhed, hvorfor kan vi andre så ikke, spørger danske virksomheder. DanID vil se på muligheden.

Bankerne har gjort det nemt at tjekke kontoen med et hurtigt login uden engangskode, men skal du på ForældreIntra og se, om lille William skal have gymnastiktøj med i dag, kræver det fuld NemID-login med papkortet fremme.

Hvorfor kan andre, der bruger NemID som login, ikke også få mulighed for at tilbyde kunderne en hurtigere, men mindre sikker adgang, når det giver mening? Sådan lød spørgsmålet fra flere kanter, da Dansk IT onsdag holdt konference om digital signatur og NemID.

»Vi har sjældent mødt så massivt et ønske fra kunderne som login uden engangskode, og mange vælger NemID fra i dag, fordi de synes, det er overkill. Hvis man skal logge ind på fitnesscentrets hjemmeside for at bestille en spinningtid, så er det måske godt nok med en-faktor-login. Det bliver vi nødt til at vurdere,« lød svaret fra Søren Hjortflod, leder af Nets DanID.

Han hev selv fat i paradokset, at NemID nu bliver brugt 100 millioner gange årligt til login på netbank uden engangskode, mens det ikke er muligt til andre og mindre personlige tjenester.

»Jeg kan godt forstå, at det set udefra ser sjovt ud, at bankerne bruger det, men resten ikke kan få det. Hvis det skal lykkes at tilbyde andre, skal vi finde en balancegang, for det må på ingen måde kunne kompromittere sikkerheden i NemID,« sagde Søren Hjortflod på konferencen.

Læs også: NemID-login får forældre til at boykotte ForældreIntra

Billigere login uden papkort

Da DanID sidste år lancerede NemID, blev der også sat gang i en salgskampagne, som skulle få private firmaer til at bruge NemID som login.

I dag har 218 firmaer valgt at bruge NemID til login, i stedet for selv at skulle bruge kræfter på sikker autentifikation og support, men to-faktor-konceptet med papkort og engangskoder betyder, at det er en tand mere besværligt at logge ind, i forhold til bare at bruge brugernavn og password.

Klasselotteriet, som har brugt NemID til login, siden tjenesten blev lanceret, meldte sig også ’i koret’, da diskussionen dukkede op.

»Vi har brug for en-faktor-login. Og vi vil gerne høre DanID, om det så kunne være en billigere løsning?« spurgte en repræsentant fra Klasselotteriet.

I dag koster det et privat firma 3,12 kroner pr. bruger om året at bruge NemID-login, eller én krone pr. login.

»At sende nøglekort ud er en væsentlig omkostning i driften af NemID. Så hvis vi tilbyder en-faktor-login uden engangskode, vil man som kunde kunne få del i den besparelse. Det kan måske være halv pris af i dag,« svarede DanID-direktøren.

Uni-C diskuterer i øjeblikket, om man skal vente på en version af NemID uden engangskode, eller selv rulle en løsning ud til brugerne, lød det fra salen. Men NemID som en-faktor-login er ikke lige om hjørnet, så Uni-C kunne komme til at vente længe, sagde Søren Hjortflod fra DanID.

I stedet kunne man bruge NemID som bagstopper, anbefalede Morten Storm Pedersen, direktør for Signaturgruppen. På den måde kan virksomheder have deres egen en-faktor-login, som dermed også kan bruges til login via mobilen, men falde tilbage på NemID, hvis brugerne for eksempel har glemt kodeordet til det normale login.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mikkel Kruse Johnsen

Det vil sige, at de faktisk siger. Giv os den gamle digitale signatur tilbage.

Hvis man laver NemID uden to-faktor, er den jo meget mere usikker end den gamle, rigtige, digitale signatur. Hvor man både skulle stjæle nøglen og kodeordet.

Men nu skal man så bare stjæle kodeordet. Smart.

Kristian Poulsen

[quote id=97663]
Hvis man laver NemID uden to-faktor, er den jo meget mere usikker end den gamle, rigtige, digitale signatur. Hvor man både skulle stjæle nøglen og kodeordet.
[\quote]

Delvist korrekt, men bankernes løsning fungerer jo på den måde at du kan se dine konti, men så snart du skal gennemføre en transaktion skal du have fat i en kode fra papkortet.

Det betyder, at man ved kendskab til brugernavn og kodeord allerhøjest kan komme i besiddelse af uvedkommende informationer. Selvom disse måske kan betragtes som personfølsomme, så er der stadig et stykke vej til fx at få lænset kontoen.

Morten Fordsmand

Desværre er der nogle banker (danske b. og vist også Nordea)der helt har misforstået det.
De kræver nemlig 2-faktor ved login, men kun 1-faktor ved transaktioner.
Det var derfor man in the middel kunne udføres over for Nordea kunder så vidt jeg forstår det.

Michael Thomsen

Alle banker i Danmark kræver kun EEN nemid-nøgle uanset hvor mange transaktioner man laver. Dvs at du som angriber blot skal gøre følgende:

  1. Hack en PC og ændre favoritlinket til netbanken til din server
  2. Lad din server virke som proxy mellem banken og kunden og lad alt virke som normalt
  3. Vent indtil kunden indtaster en nemid nøgle (enten ved login, eller når han/hun laver den første overførsel)
  4. Nu har du fuld adgang til at lave lige så mange nye overførsler som du har lyst til - dog skal du i nogle tilfælde holde dig under et vist beløb.
Jens Madsen

At sende nøglekort ud er en væsentlig omkostning i driften af NemID. Så hvis vi tilbyder en-faktor-login uden engangskode, vil man som kunde kunne få del i den besparelse. Det kan måske være halv pris af i dag,« svarede DanID-direktøren.

Det er næppe portoen som koster for engangskoder. Der er jo mange koder på kortet. Jeg vil tro, at bankerne og e-boks tilsammen, meget hurtigt betaler de omkostninger, som er ved at sende nøglekortet ud første gang.

Hvis portoen er et problem, skal der nok være virksomheder, der er villige til at betale, hvis de får lov at få en reklame på konvolutten. Man kan jo spørge de virksomheder der bruger e-boks, om de vil betale lidt for, at få deres logo på konvolutten.

bent madsen

Jeg har i årevis været ganske tilfreds med at benytte mig at "stavepladen" fra Jyskebank, da den har givet mig en ret god sikkerhed som jeg har været tilfreds med. Ved enhver pengetransaktion skulle jeg indtaste en engangsnøgle, det synes jeg var meget betryggende. Jeg har aldrig konstateret at der er sket noget misbrug på en konto.

Nu kan jeg altså benytte mig af mine fine NemID nøglegenerator (100 kr.) istedet, helt som jeg gør med firmaets RSA nøglegenerator. Og fler
og fler steder bliver det muligt at gøre dette. Rigtig rart og indtil nu ganske betryggende med engangsnøgle sikkerheden.

Men til min skræk har jeg så konstateret at bl.a. Nykredit lukker mig igennem uden jeg skal logge på med en engangsnøgle.
De tillader endda også at gå videre til min e-boks ( der har jeg alt personligt relateret, herunder evt. kommunikation med det offentlige) uden der skal indtastes en engangsnøgle.

Hyl og skrig hvor er det helt vanvittigt.

NemID skulle sikre at vi kom til en højere sikkerhed end i det gl. NetID og TDC certifikat.
Nu er det et rent slaraffenland for hackers, der skal bare en keylogger ind på ens maskinen så er der frit slag, adgang til alt uden at skulle lave "man i the middle" tricket (det som ingeniøren demonstrer så fint).

Er det virkelig det som firmaerne skriger på at få lov til, bare for det minimale besvær det er at taste en engangskode ind når man logget på?
Man forstår altså ikke at det skal være marketings folkene som styrer sikkerheden i den danske digitale verden, nu når vi endda er på vej med digital borgerservice i hidtil uset grad.

Problemet bør helt sikkert tages op på aller højeste niveau.
Da vi alle jo med NemID også er blevet underlagt ny lovgivning, som kan
være en slem oplevelse hvis vi pludselig kommer udfor at bankonto'en bliver hacket og pengene forsvinder, eller ens personlige data er blevet
misbrugt.

Log ind eller Opret konto for at kommentere